信息系统一般控制审计
注会审计:信息技术一般性控制审计
(⼀)信息技术⼀般性控制审计信息系统⼀般性控制是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应⽤或控制模块具有普遍影响的控制措施。
信息技术⼀般控制通常会对实现部分或全部财务报告认定做出间接贡献。
有些情况下,信息技术⼀般控制也可能对实现信息处理⽬标和财务报告认定做出直接贡献。
这。
由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运⾏,注册会计师需要对上述三个领域实施控制测试。
信息技术⼀般控制包括程序开发、程序变更、程序和数据访问以及系统运⾏等四个⽅⾯。
1.程序开发程序开发领域的⽬标是确保系统的开发、配置和实施能够实现管理层的应⽤控制⽬标。
程序开发控制的⼀般要素包括:(1)对开发和实施活动的管理;(2)项⽬启动、分析和设计;(3)对程序开发实施过程的控制软件包的选择;(4)测试和质量确保;(5)数据迁移;(6)程序实施;(7)记录和培训;(8)职责分离。
2.程序变更程序变更领域的⽬标是确保对程序和相关基础组件的变更是经过请求、授权、执⾏、测试和实施的,以达到管理层的应⽤控制⽬标。
程序变更的⼀般包括以下要素:(1)对维护活动的管理;(2)对变更请求的规范、授权与跟踪;(3)测试和质量确保;(4)程序实施;(5)记录和培训;(6)职责分离。
3.程序和数据访问程序和数据访问这⼀领域的⽬标是确保分配的访问程序和数据的权限是经过⽤户⾝份认证并经过授权的。
程序和数据访问的⼦组件⼀般包括安全活动管理、安全管理、数据安全、操作系统安全、络安全和物理安全。
4.计算机运⾏计算机运⾏这⼀领域的⽬标是确保⽣产系统根据管理层的控制⽬标完整准确地运⾏,确保运⾏问题被完整准确地识别并解决,以维护财务数据的完整性。
计算机运⾏的⼦组件⼀般包括计算机运⾏活动的总体管理、批调度和批处理、实时处理、备份和问题管理以及灾难恢复。
信息系统一般控制审计过程实例解析
信息系统一般控制审计过程实例解析作者:张玉琳贺颖奇来源:《财会学习》2013年第11期随着信息技术在企业应用越来越广泛,信息系统控制和审计已经成为很多企业面临的迫切问题。
信息系统控制包括一般控制和应用控制两部分,一般控制包括规划与组织控制、系统建设控制、日常运行控制等。
应用控制与实际系统的业务有关,主要包括输入控制、处理控制、输出控制。
对一般控制的审计就是要获取证据鉴证在被审期间企业有关的制度和规程是否健全,计算机信息系统是否按规定的制度和规程工作,控制的作用是否达到了预期的结果。
一、信息系统审计的计划阶段计划阶段是信息系统审计过程的起点。
计划阶段的主要任务是了解被审计单位以及业务和系统运营情况;识别风险和内部控制;以及确定审计的性质、范围和重点等。
(一)了解被审计单位业务和系统运营情况审计人员首先需要了解被审单位的基本情况,主要包括业务和系统运营情况。
通过对这些基本情况的调查了解,可以对被审单位审计的固有风险进行初步评价。
本文对信息系统一般控制的审计实例以一家提供医疗保险服务的公司(以下以R公司代称)为背景。
R公司总部位于上海,在全国多地拥有分公司和业务部门。
公司信息部负责整个公司信息系统的管理和维护工作。
公司现在用的主要业务系统——医疗保险管理系统(HIMS)是由公司2003年自主研发的,系统于2005年进行测试,2006年3月正式运行使用。
到今天系统经过了多次改版和升级。
系统采用进行开发,后台数据库为SQL Server2005,医疗保险管理系统采用了B/s结构模式,现在服务器端操作系统为windows 7.0,客户端操作系统主要为Windows XP。
公司每年都投入资金对其硬件环境进行升级改造,目前共有服务器10台、计算机1200多台、交换机87台、硬件防火墙6台,打印机103台。
公司机房在上海总部办公大楼一楼,放置了温度、湿度探测器,同时配备了UPS不间断电源和自动灭火系统,为系统正常运行提供了保障。
《信息系统审计》 第3章
与传统手工控制相比,信息系统内部控制特点: 1、 控制的重点转向系统职能部门; 2、 控制的范围扩大; 3、 控制方式和操作手段由人工控制转为人工 控制与信息技术控制相结合。
内部控制分类: 从信息系统对象范围角度,信息系统可分为信息系 统环境和信息系统应用程序两部分组成。 因此,从该角度信息系统内部控制通常分为: 信息系统一般控制(即对信息系统环境的控制) 信息系统应用控制(即对应用程序的控制)
(2)场地(机房场地、信息存储场地)审查 审计内容:地址选择条件;温度、湿度条件; 照明、日志、电磁场干扰条件;接地、 建筑结构条件;防水、防火、防雷、防 磁、防尘措施等。 审计标准:标准GB/T 2887—2000
(3)机房审查 审计内容:防火、内部装修、供配电系统、 空调系统、火灾报警系统、消防设施、 防静电、防雷击等。 审计标准:标准GB 9361—1998(分为A、 B、C三类)
硬件控制与审计直接关系到信息系统的安全、可靠 的运行。其内部控制及其审计,主要涉及:
硬件设施的采购、运行、维护、监控和能力管 理等。 1、硬件基础设施采购控制 硬件基础设施采购控制应考虑的问题: 购买什么样的硬件?如何保障硬件的质量? 主要控制包括: (1)招标书(ITT)或请求建议书(RFP)控制 要求: 全面明确说明所需设备用途、 任务 和要求,及对设备所处环境的描述。
(4)硬件设备应具有的基本控制功能因素 计算机设备应具有控制功能:重复处理控制、 回波检验、设备校验、有效性校验等。 可以通过审核硬件厂家的文献资料和书面凭 证确定。
2、硬件基础设施维护与监控 目的:提供系统正常运行的硬件基础设施保障。 控制措施包括: 形成维护计划(维护程序)并得到管理层批准; 维护的落实与监督检查; 维护变更的控制。
信息系统一般控制审计
信息系统一般控制审计一、应用系统开发、测试与上线审计A.应用系统开发审计(一)业务概述组织的信息系统开发根据方式不同,通常包括自主开发、外委开发、或者二者兼有的开发方式。
组织在进行信息系统开发时,应当根据自身技术力量、资金状况、发展目标等实际情况,选择适合自身的开发方式和合作伙伴。
应用系统开发工作包括需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线、数据迁移和产品维护等内容。
(二)审计目标和内容审计目标:通过规范开发程序,提高信息系统开发的可控性、安全性、可靠性和经济性,揭示信息系统开发环节存在的风险及问题,提出完善信息系统开发控制的审计意见和建议,实现组织目标。
审计内容:开发组织机构设置、资源配置情况。
开发过程中与业务部门的沟通情况。
系统开发全过程的需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线和数据迁移、产品维护等内容的质量、安全管理情况。
(三)常见问题和风险组织自主开发方式下的应用系统主要存在以下常见问题及风险:1.组织未成立专门的开发建设项目组,可能导致信息系统开发建设责任制未落实的风险。
2.信息系统开发工作缺乏必要支持。
组织内部无专业技术人员或是缺乏必要的财务支持,导致开发失败的风险。
3.信息系统开发过程没有业务部门人员参与,未定期与业务部门共同审核信息系统的开发建设情况,未及时发现系统不能满足业务的需要,可能导致与业务需求不相符的风险。
4.组织未制定合理的项目生命周期管理方案和符合质量管理标准的质量控制体系,不能有效控制开发质量;开发过程中未进行必要的安全控制,未对源代码进行有效管理和严格审查可能导致的风险。
5.项目需求说明书阐述业务范围及内容不清晰,未能结合需求制定出最优化的技术设计方案的风险。
开发环境、测试环境和生产环境未分离,网络未有效隔离,设备未独立于生产系统,开发人员直接接触生产系统,直接使用未经批准并脱敏的生产数据,导致泄密或造成生产系统受损的风险。
信息系统审计内容
信息系统审计内容一、信息系统审计内容概述信息系统审计对象,包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。
信息系统审计内容主要包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。
二、对组织层面信息技术控制的审计组织层面信息技术控制审计的内容包括:(一)控制环境内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。
(二)风险评估内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程,信息资产的分类及信息资产所有者的职责,以及对信息系统的风险识别方法、风险评价标准、风险应对措施。
(三)控制活动内部审计人员应当关注信息系统管理的方法和程序,主要包括职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。
(四)信息与沟通内部审计人员应当关注组织决策层的信息沟通模式,信息系统对财务、业务流程的支持度,信息技术政策、信息安全制度传达与沟通等方面。
(五)内部监督内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制自我评估机制等方面。
三、对信息系统一般性控制的审计信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序,目标是保护数据与应用程序的安全,并确保异常中断情况下计算机信息系统能持续运行。
信息系统一般性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。
审计人员应当采用适当的方法、合理的技术手段对信息系统建设的合规合法、信息系统的安全管理、访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。
信息系统一般性控制审计应当重点考虑下列控制活动:(一)系统开发和采购审计内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批,系统开发所制定的系统目标以及预期功能是否合理,是否能够满足组织目标;系统开发的方法,开发环境、测试环境、生产环境的分离情况,系统的测试、审核、验收、移植到生产环境等环节的具体活动。
IT审计简述
IT审计概述:IT审计是分为:信息技术一般控制审计(ITGC)和应用层面控制审计(ITAC)1,ITAC(支持财审做对一些对具体余额的认定进行审计)ITAC即针对某一个应用软件的控制,例如对于银行来说,就有银行利息的计算软件。
那么审计这个计算过程对不对,就是ITAC了。
IT审计员会在系统中查看这个程序的源代码,看看利息是不是用借款乘以利率算出来的,另外,也会在系统中生成一个存款,然后看看系统计算的对不对。
2,ITGC(IT一般控制)但是我们知道,我们只能在一年中某已一个点来测试ITAC,如何保证在过去的一个财年内这个软件计算过程都是对的呢?这就需要ITGC是不是有效的,如果这个程序没有被乱篡改,所有的程序变更都事先得到了许可和授权,这个程序出问题的时候可以得到及时有效的解决,也就是ITGC有效的情况下,IT审计员就可以得出这个利率计算过程是有效的。
ITGC内容(可以先不看):(1)ELC(entity level control)控制。
就是看看客户在IT治理方面的相关组织架构是否合理,书面的管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《IT 管理制度》等等。
(2)系统开发和变更。
就是关注系统开发和系统后续小变更中的一些控制,具体的审计程序就是获取系统开发及变更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看一看,再看系统开发是否经过了需求提出、可行性研究、领导层审批,系统上线之前是不是经过了充分的测试,获取一些内控痕迹和表单,如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》,然后变更方面比较重要的就是《变更审批单》,这个一般来说还要进行抽样,而上面的开发流程一般来说做一两个穿行测试就行了。
IT审计简述
IT审计简述IT审计概述:IT审计是分为:信息技术⼀般控制审计(ITGC)和应⽤层⾯控制审计(ITAC)1,ITAC(⽀持财审做对⼀些对具体余额的认定进⾏审计)ITAC即针对某⼀个应⽤软件的控制,例如对于银⾏来说,就有银⾏利息的计算软件。
那么审计这个计算过程对不对,就是ITAC了。
IT审计员会在系统中查看这个程序的源代码,看看利息是不是⽤借款乘以利率算出来的,另外,也会在系统中⽣成⼀个存款,然后看看系统计算的对不对。
2,ITGC(IT⼀般控制)但是我们知道,我们只能在⼀年中某已⼀个点来测试ITAC,如何保证在过去的⼀个财年内这个软件计算过程都是对的呢?这就需要ITGC是不是有效的,如果这个程序没有被乱篡改,所有的程序变更都事先得到了许可和授权,这个程序出问题的时候可以得到及时有效的解决,也就是ITGC有效的情况下,IT审计员就可以得出这个利率计算过程是有效的。
ITGC内容(可以先不看):(1)ELC(entity level control)控制。
就是看看客户在IT治理⽅⾯的相关组织架构是否合理,书⾯的管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及⼀些⽐较虚的总纲类的书⾯管理制度如《IT 管理制度》等等。
(2)系统开发和变更。
就是关注系统开发和系统后续⼩变更中的⼀些控制,具体的审计程序就是获取系统开发及变更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看⼀看,再看系统开发是否经过了需求提出、可⾏性研究、领导层审批,系统上线之前是不是经过了充分的测试,获取⼀些内控痕迹和表单,如《××系统需求报告》、《××系统可⾏性报告》、《××系统⽴项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》,然后变更⽅⾯⽐较重要的就是《变更审批单》,这个⼀般来说还要进⾏抽样,⽽上⾯的开发流程⼀般来说做⼀两个穿⾏测试就⾏了。
计算机信息系统的控制及其审计
计算机信息系统的控制及其审计[内容提要] 当信息处理的方式由手工转向计算机后,为了确保输出信息的及时、准确和完整,为防止或及时发现差错及舞弊行为的发生,信息系统的控制就显得尤为重要。
本章专门研究计算机信息系统的一般控制及应用控制的各种控制措施和管理制度及其审计问题。
本章最后还介绍了控制矩阵及其在信息系统控制审计中的应用。
第一节信息系统控制的重要性信息系统所提供的信息是投资者、债权人及企业经营管理者作出投资决策以及生产经营决策的重要依据,因此,如何才能确保信息的有效、准确、及时、完整和安全,是我们在设计和运行信息系统时所需考虑的一个重要问题,而这一问题的关键在于如何完善信息系统的控制。
一、控制的定义对一个企业来说,所谓控制是指企业经营管理者为了维护企业资产的安全、资源的有效利用和提高企业财会和管理信息的真实、正确性,确保企业方针政策的贯彻执行,促进各项工作与企业经营效率的提高而实施的各项措施。
内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五部分构成。
一个良好的企业控制系统应具有以下4个方面的功能:1. 确保企业各种经济资源的安全。
一个企业,如果没有一套良好的控制企业经济资源的措施,就会发生各种经济资源的损毁、贪污、浪费、盗窃、丢失等现象,使企业蒙受损失。
所以,要采取有力的控制措施,有效地提高企业各种经济资源的安全,保护企业所有者的利益。
2. 确保各种经济信息、尤其是财会信息的准确、完整和及时性。
只有及时、准确、完整的经济信息,才能引导企业经营管理者正确地作出各种经济预测和决策,圆满实现企业的经营目标;反之,则会对企业的生产经营起误导作用,使企业在面临各种问题时,作出错误的选择。
可见,建立良好的信息系统控制,是保证信息质量的重要途径。
3.促进企业各部门工作效率的提高,使企业保持良好的运行效率。
提高企业各部门工作效率是保证企业良好运行,顺利实现企业经营目标的重要途径。
因此,在企业内建立一套有效的业绩考核和评估体系,使企业内形成一种相互激励,相互约束的竟争机制,可以大大提高企业对各种经济资源、人力资源的利用率,使企业保持良好的运行效率。
信息系统一般控制审计过程实例解析
及 业 务 和 系统 运 营 情 况 ; 识 别 风 险和 内部 控 配 备 了UP S 不 间 断 电源 和 自动 灭 火 系统 , 为 制; 以 及确 定审 计 的性 质 、 范 围和重 点等 。
系统 正常 运 行 提 供 了保 障 。
根 据 对 R公 司信 息 系统 基 本 情 况 和 一 般 控 制的 了解 , 分 析 得 出R公 司 在 一 般 控 制 方 面 主 要 存 在的 风险 点 有:
本 情 况, 主要 包括业 务和系统运营 情况。 通 尤 其 是 信 息 系 统 内部 控 制 , 对 内部 控 制的 健 执 行 和 监督 ;
过 对 这 些 基 本 情 况的 调 查 了解 , 可 以对 被 审 全 性 和 有 效 性 进 行 评 估 , 初 步 确定 控 制风险
单 位 审 计 的固有 风险 进 行 初 步 评 价 。
审i 十 广角 l A U Dl TI N G SCO PE
信息系统一般控制审计过程实例解析
◎ 文 /张玉琳 贺颖奇
随 着 广 信 泛 , 息 信 技 息 术 系 在 统 企 控 业 制 应 和 用 审 越 计 来 已 越 经
公 司代 称 ) 为背景。 R公 司 总 部 位 于 上 海 , 在 件 和 网络 的 管 理 主 要 是 采 取 管 理 小 组 的 组 全 国 多地 拥 有 分 公 司和 业 务 部 门。 公 司信 息 织 架 构 , 信 息 部 主 要 分 为软 件 组 、 设 备 组 和
( 3 ) 自 主 开 发 的HI MS 业 务 系统 , 使 用是
的大小, 才能有效地 制定信息系统审计的目 否 达 到规 划 、 开 发 预 期目标;
( 4 ) HI MS 是 否 严 格 按 照 信 息 系 统 开 发
信息系统一般控制审计(上)
信息系统一般控制审计(上)(来源:《中国注册会计师》,2018-09-12)编者按:在信息化环境下,企业运用信息技术编制财务报表,设计和执行内部控制。
注册会计师在对企业的财务报表进行审计时,必须考虑信息技术的影响。
同时,信息化也对注册会计师的审计技术和方法带来革命性变化。
为了帮助注册会计师应对信息化带来的挑战,中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书,即将出版。
本刊约请作者加以摘编,分期连载,以飨读者。
注册会计师在完成信息系统审计工作计划之后,就要进入信息系统审计的执行工作。
我们将对信息系统审计的执行工作从信息系统一般控制、应用控制和数据三个领域分别阐述。
信息系统一般控制是整个信息系统审计的基础和内核,对被审计单位的应用控制和数据保驾护航,对整个财务报表产生普遍性的影响。
如果信息系统一般控制没有得到有效设计或运行,依赖于其上的自动控制和手工控制就如建立在沙滩上的城堡,无法对财务报表提供有效的支撑。
因此,如果信息系统一般控制和应用控制均在审计范围内,我们一般应该先安排执行信息系统一般控制的审计工作。
在大致确保一般控制整体有效的前提下,再进行相关的应用控制审计的执行工作。
如果一般控制整体无效或部分无效,我们需要评估无效的控制点对依赖其上的应用控制的影响,确认是否仍然可以依赖该应用控制点,以及在此背景下该应用控制点的审计策略和方法是否需要有所调整。
简言之,应用控制是否有效并可以被依赖、以及如何测试将在很大程度上取决于一般控制的有效性。
因此,信息系统一般控制审计在整个审计过程中具有举足轻重的作用。
一、系统建设(一)系统建设活动中与审计相关的特定风险注册会计师在执行财务报表审计时,需要考虑被审计单位的信息系统建设活动可能对审计工作产生的影响。
例如,信息系统建设活动是否与财务报表相关?相关程度如何?如果新建的信息系统与财务报表不相关(如工程辅助设计系统),注册会计师并不需要将其纳入审计范围。
信息系统审计方法与操作指引
2019/12/5
5
IT一般控制审计程序
影响变更管理测试性质和范围因素(续)
1.2.2 变更类型 要确定最适当的测试方法,了解和记录用于变更管理过程,包括 针对以下变更类型和IT环境技术组成要素过程:
► 程序开发/采购 — 开发和实施新应用程序或界面。 ► 程序变更 — 对现有应用程序和界面进行的变更。 ► 系统软件维护 — 对数据库、操作系统和其他系统软件进
风险控制矩阵是 对风险所导致负 面影响的量化, 从严重性、发生 概率和所涉及范 围等方面进行描 述,使得对风险 的刻画更为有效 和清晰。
识别出关键系统 的系统配置,包 括系统描述、应 用系统来源、计 算机平台、操作 系统、数据库名 称和版本等有关 系统的信息。
测试模板
根据对信息系统 的初步了解,设 计出相应的测试 模板,包括风险 点、控制点、测 试范围、测试时 间、测试步骤等 信息
IT一般控制是指为保证在一段时期内应用控制持续有效性,而在系统变更 和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据 集都有效,所以被称为“IT一般控制”。
IT一般控制分类
变更管理:只允许对应用程序、界面、数据库和操作系统进行适当授权、 测试和批准的变更。
逻辑访问:只有经过授权的人员,才可以访问数据和应用程序(包括程序、 表和相关资源),并且他们只能执行明确授权的功能(例如:询问、执行 和更新)。
制要求修改密码。
2019/12/5
13
IT一般控制审计程序方法论
了解IT流程方法
为了解IT流程,参与评估人员需要在内控文档中对如下内容进行关注: 5个W(WHO, WHEN, WHAT,WHERE, WHY )与1个H( HOW )
专项审计-信息系统应用控制审计内容
查核事项
审计程序
程序类别
抽核比例计算方法
一般抽核比例范围
应获取的资料
查核方法
注意事项
系统基础数据设置
基础数据设置
必查
不适用
100%
-
检查系统基础数据设置
1、数据维护是否有审核。
2、批量导出导入数据是否正常。
3、各系统基础数据是否与实际作业需求相符。
4、外购系统的初始化账户是否有控制。
1、从一个部门转到另外一个部门,数据流是否发生错误。
2、数据传递是否及时。(如连锁百货类型的企业,门店数据是否及时传递到总部。)
3、对于数据错误(或者超正常数据,如收货、出货等的数量)是否设置控制。
系统应用环境
系统开发
选查
不适用
100%
-
检查系统
1、系统开发是否根据实际需求,做可行方案。
2、系统超过一定时间未使用自动登出。
5、超级账户与一般账户的控制是否分别控制。
系统应用控制
1、权限设置
必查
不适用
80%
-
1、检查系统
2、访谈各子系统作业人员
1、系统权限设置是否欠当。(举例,如销售环节的价格折扣是否设置相应的审批权限。验收环节是否允许超额收货。)
2、审批流程是否相符。
3、是否存在系统外流转的表单和审核。
2、表单使用
必查
不适用
100%
-பைடு நூலகம்
1、检查系统
2、访谈各子系统作业人员
1、表单设计是否符合实际作业,是否存在重大遗漏。
2、作废表单是否可以再次使用。
3、是否可以生成汇总表单。
4、系统数据的录入与使用是否有格式限制,如设置校验码等。
企业内部控制体系中信息系统审计的内容和方法
企业内部控制体系中信息系统审计的内容和方法一、在内部控制体系中开展信息系统审计的内容信息系统审计通常包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计,或者根据企业实际情况可以分为总体控制和应用控制(如图1所示)。
图1在内部控制体系中开展信息系统审计内容1、信息系统总体控制制度体系,旨在保证整个公司范围内更加科学、规范地应用信息技术,提高企业在信息技术开发、实施、运营活动方面的控制能力,增强日常信息工作效率,更好地保护信息资产,提高信息技术对业务的支持力度,其目标是对信息技术管理和运行有效性的检查。
信息系统总体控制审计目的是通过全面准确的信息系统内部控制制度的评价,保证其有效地发挥作用。
信息系统总体控制审计应重点关注六个方面:一是控制环境。
包括信息系统总体控制环境、信息与沟通、风险评估、监控等。
二是信息安全情况。
包括信息安全管理组织、逻辑安全、物理安全、网络安全、计算机病毒防护、第三方安全管理、信息安全事件响应等。
三是项目建设管理。
包括项目建设方法论、项目立项审批、商业软件及硬件的外购、项目启动、项目需求分析、项目设计、系统开发实施、系统测试、数据移植、系统上线、项目验收和上线后评估、用户培训等。
四是系统变更管理。
包括变更管理、日常变更流程、紧急变更流程等。
五是信息系统日常运作。
包括机房环境控制、系统日常运作监控、批处理作业调度管理、备份与恢复、问题管理等。
六是最终用户操作。
包括最终用户计算机操作安全制度、电子表格管理等。
其中,对最终用户操作的检查,并在关键环节建立关键控制点,通过手工测试或者开发计算机软件来证明其内部控制的有效性。
由于目前电子表格越来越多的应用在办公系统、财务报表和财务处理过程,且越来越复杂。
但是电子表格使用存在一些缺点,91%的电子表格存在错误,超过200行的表格将100%地存在错误。
这些问题可能导致巨大的风险,因此,必须关注与财务报表相关的电子表格,即电子表格将直接或间接影响财务报表或信息披露事项。
信息系统一般控制审计
(1)评价被审计单位的业务持续性策略及其与业务目标的符合性、充分性和有效性。 (2)审核信息系统和终端用户以前所作测试的结果,验证业务持续性计划的有效性。 (3)审核异地应急措施及其内容、安全和环境控制,评估异地存储站点的适当性。 (4)审核应急措施、员工培训、测试结果,评估信息系统和终端用户在紧急情况下的有效反应能力 。
5、You have to believe in yourself. That's the secret of success. ----Charles Chaplin人必须相信自己,这是成功的秘诀。-Thursday, June 17, 2021June 21Thursday, June 17, 20216/17/2021
(2)错误报告的维护和操作:应当有控制程序来保证所有的错误报告被正确地核对与纠正,并适时 地提交。
(3)源文件保存期:源文件应当保存一个足够的时间期间,以确保对数据检索、重组和验证的需要 。
(4)标签:必须为可移动存储介质设定内外部标签,以保证适当的数据被调用和处理。
信息系统审计
40
(5)版本:使用正确和适当的文件版本对于正确的处理是非常关键的。 (6)一对一检查:确保每一个文件都与经计算机处理的详细文件清单相符合,这对于保证所有的文 件都已经被接受处理是非常必要的。 (7)预录输入:特定的信息字段已被预印在空白的输入表单上以减少输入错误。 (8)文件更新和维护授权:适当的文件更新和维护授权可以保证存储数据受到了充分的安全保护, 保证数据是正确的和及时更新的。 (9)校验检查:计算机中的数据传输应当在一种无错误的环境中进行,但当程序或重要的数据在传 输时,有必要增加额外的控制以防出现错误。
信息系统审计
信息系统架构控制与审计
(四)系统软件设置 控制目的:满足系统环境需求; 防止隐藏的错误和数据毁坏; 防止非授权的访问和不准确的日志。 关键控制点:建立控制选项和/或参数的保护措施; 控制选项和/或参数设置的合理性、完整性控制; 控制选项和/或参数的日志文件的分析评价; 使用访问控制软件。
二、系统软件控制 系统软件包括:操作系统、数据库管理系统、通信软件、数据管理软 件、作业调度软件、程序库管理系统、磁带/磁盘管理 系统和系统工具软件。 系统软件涉及:系统软件获取与实施、系统软件变更、系统软件版本与 许可、系统软件设置
(二)硬件维护 主要控制点:制定明确的维护计划; 记录硬件维护的执行过程并形成文档; 明确维护的硬件资源信息、维护日程表、维护成本; 记录可提供特殊设备维护的服务商信息; 明确维护纪录的保存和审计轨迹; 明确管理层的维护监控。
施程序以及文档需求等系统软件相关文档);
第三章 信息系统架构控制与审计
招标书(请求建议书)应包含的主要内容: (1)组织环境(集中式,或分布式环境)。 (2)处理需求。包括:组织的业务需求,计算机硬件负载与性能要求, 计算机信息处理途径。 (3)硬件需求。包括:CPU处理速度、外部设备、终端设备与数目、网 络设备。 (4)系统软件环境及其需求。包括:计算机操作系统、编译环境、数据 库管理软件、通信软件以及访问控制软件等。 (5)支持需求。包括系统的维护、操作人员的培训以及备份。 (6)适应需求。对采购硬件的兼容性以及对现有设备和装置地影响有明 确定义。 (7)实施需求。规定设备的测试、实施与系统转时间安排。 (8)约束条件。硬件采购的容量,现有员工及其操作水平以及交付日期。
第三章 信息系统架构控制与审计
第三章 信息系统架构控制与审计
审计业务底稿之了解和评价信息系统一般控制
签名
编制索引号P221-10
复核页次 1
工作指引:
1. 完成信息系统主要负责人员调查表。
2. 完成重大业务流程和信息系统匹配表,根据信息系统调查问卷,具体评估各项信息系统
复杂程度的调查问卷。
3. 确定信息系统控制审计的范围。
4. 针对信息系统一般控制在控制环境、程序开发、程序变更、程序和数据访问以及计算机
运行等方面进行了解。
(二) 重大业务流程和信息系统匹配表
编制说明:
1.“系统名称”填写系统的名称,如费用支付系统。
系统可以是商业软件系统,或是企
业自己开发、定制的系统,也可以包括其他终端用户所使用的重要工具,如利用 Excel 等
电子表格编制的模型、填报工具等。
2. “系统平台”填写系统的操作平台,如Microsoft、Unix等。
3. “设备所在地点”填写系统的所在地点,如分布各省公司
4. “上线年份”填写初始上线年份。
5.“所支持的业务流程/科目”填写流程名称,如采购、费用支付流程等。
6. “复杂程度”根据各项信息系统调查的结果评价系统的复杂程度,填写高或低。
对信息系统的评估不是一个纯粹客观的过程,也需要依靠注册会计师的职业判断。
7. “是否纳入测试范围”根据系统的复杂程度明确系统是否纳入测试范围,填写是或否。
(三) ××信息系统调查
编制说明:
重大业务流程和信息系统匹配表中列示的各项信息系统均应填制本表,作为评价其复杂程度的依据。
信息系统审计内容及重点、步骤和方法
信息系统审计内容及重点、步骤和方法一、审计内容(一)信息系统一般控制情况1.信息系统总体控制情况;2.信息安全技术控制情况;3.信息安全管理控制情况。
(二)信息系统应用控制情况1.信息系统业务流程控制情况;2.数据输入、处理和输出控制情况;3.信息共享和业务协同情况。
二、审计重点及审计步骤和方法(一)一般控制审计1.总体控制审计审计思路:通过检查被审计单位信息系统总体控制的战略规划、组织架构、制度机制、岗位职责、内部监督等,分析信息系统在内部环境、风险评估、控制活动、信息与沟通、内部监督方面的有效性及其风险,形成信息系统总体控制的审计评价和结论。
审计方法:召开座谈会、发放调查问卷、查阅文件等。
审计步骤:(1)战略规划评价。
检查被审计单位是否建立了信息系统战略发展规划,是否明确了战略目标、整体规划、实现指标和相应的实施机制。
(2)组织架构评价。
检查被审计单位是否建立了与信息系统战略发展规划相匹配的决策与管理层领导机构、项目实施层工作机构,以及行业内各层级的信息化工作机构,是否建立了各类机构的权力责任和制约机制。
(3)制度体系评价。
检查被审计单位是否建立了与信息系统战略规划和组织架构相匹配的项目管理制度、项目建设制度、质量检查制度等。
4)岗位职责评价。
检查被审计单位信息系统规划、建设、运维等方面的岗位设置、人员配置、岗位职责。
(5)内部监督评价。
检查被审计单位是否建立健全了信息系统建设和运维全过程的内部监督机构和监督机制,是否形成了对信息系统的风险评估、控制活动和信息交互等方面的有效控制和监督。
2.信息安全技术控制审计审计思路:通过检查被审计单位信息系统的信息安全技术及其控制的整体方案,检查安全计算环境、区域边界、通讯网络等方面的安全策略和技术设计,检查信息系统的安全技术配置和防护措施,发现并揭示信息系统安全技术控制的缺失,分析并评价风险程度,形成信息安全技术控制的审计结论。
审计方法:实地观察法、审阅法、系统测试法和利用入侵检测、漏洞扫描等工具的安全工具检测法,以及利用网络分析检测、系统配置检测、日志分析检测等工具的测评工具检测法。
专项审计-信息系统一般安全控制审计内容
1、是否存在未经测试上线的情况。
2、系统开发未考虑系统瓶颈和延展。
3、外购系统初始化,账号和密码是否及时变更。
1、检查信息资产表
2、盘点实物
1、信息资产是否有接触控制,如信息资产的采购,日常保养与维修。
软件控制
1、系统备份
必查
不适用
80%
1、系统备份记录
核对系统备份记录
1、系统备份资料的保管是否合理。
2、备份资料的使用是否有审批。
2、网络使用
必查
不适用
100%
1、网络使用清单
核对网络使用清单
1、电脑是否有防火墙设置,是否有下载限制,有杀毒软件。
专项审计循环名称:信息系统一般安全控制
查核事项
审计程序
程序类别
抽核比例计算方法
一般抽核比例范围
应获取的资料
查核方法
注意事项
硬件控制
1、中心机房
必查
不适用
100%
1、出入登记簿
1.检查出入登记簿
2、
1、机房环境是否防尘,防静电,放火,防潮。
2、出入是否50%
1、信息资产表
2、盘点记录。
2、存贮重要资料的电脑或者存储设置是否禁止网络使用。
3、公共盘的使用是否有权限控制。
4、数据传输是否加密。
3、系统账户管理
必查
不适用
100%
1、账户申请和注销单
核对账户申请和注销单据
1、是否存在自行开通账户的情况。
2、数据库是否设置接触控制。
4、系统开发
必查
不适用
100%
1、系统生命周期表
2、系统开发表
信息系统一般控制审计(下)
信息系统一般控制审计(下)(2018-09-20)编者按:在信息化环境下,企业运用信息技术编制财务报表,设计和执行内部控制。
注册会计师在对企业的财务报表进行审计时,必须考虑信息技术的影响。
同时,信息化也对注册会计师的审计技术和方法带来革命性变化。
为了帮助注册会计师应对信息化带来的挑战,中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书,即将出版。
本刊约请作者加以摘编,分期连载,以飨读者。
本文拟从系统运行和维护、系统访问权限两个角度,探讨信息系统一般控制审计。
一、系统运维(一)系统运维活动中与审计相关的特定风险注册会计师在执行企业财务报表审计时,需要考虑被审计单位的信息系统变更活动可能对财务报表审计工作产生的影响。
注册会计师需要进一步考虑系统运维活动中与财务报表审计相关的特定风险,主要体现在以下几个方面(如表1所示)。
表1 系统运维各阶段的主要审计风险系统运维要素特定风险事务处理活动未经授权的批处理作业变更导致事务处理不完整、不准确、不及时;对批处理作业的人为干预造成事务数据处理不完整、不准确、不及时;系统间事务记录传递不完整、不准确、不及时;问题管理与响应影响系统平稳运行,造成各类事务数据处理不完整、不准确、不及时;机房/数据中心运维活事务记录丢失;动数据无法恢复;备份数据出错,影响备份恢复完整性、准确性;信息系统基础设施性能不稳定,无法正常支撑业务开展;灾难事件导致企业业务中断,无法在预期的时间内恢复正常运作;(二)系统运维审计领域相关控制系统运维审计领域相关控制是围绕系统运维活动的一系列程序或机制,它们能够确保信息系统是根据管理层的应用控制目标运行的,确保运行中发生的问题得到及时的识别和解决,从而保证事务处理的准确性和完整性。
系统运维审计领域的相关控制要保证系统的事务处理作业的运行与数据的备份是在受控的环境中执行的,任何运行中产生的异常也会得到及时处理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统审计
35
五、错误报告和错误处理方法
(1)仅拒绝有错误的事务。 (2)拒绝整批事务。 (3)暂停输入批次。 (4)整批接收并对错误事务做标志。
六、联机系统的输入完整性 七、内部审计与监测
信息系统审计
36
第二节 数据处理控制
一、规范的数据处理程序
二、数据确认和编辑检查程序
(1)顺序检查。 (2)极限检查。 (3)范围检查。 (4)有效性检查。
一级章节 第六章 信息系统一般控制审计
第一节 信息系统硬件 一、硬件获取
(一) 招标书
信息系统审计
20
1.组织环境 2.处理需求 3.硬件需求 4.系统软件 5.支持需求 6.适应需求 7.实施需求 8.约束条件
(二) 获取步骤
信息系统审计
21
(1)好转时间——发生故障时,帮助台或厂商从登录系统到解决问题所需的时间。 (2)响应时间——系统响应一个特定的用户查询所需的时间。 (3)吞吐量——单位时间内系统的有效工作量,吞吐量的衡量指标可以是每秒执行的指令。 (4)数或其他性能单位。 (5)负载——执行必要工作的能力,或系统在给定时间区间内能完成的工作量。 (6)兼容性——供应商提供的新系统对现有应用的运行支持能力。 (7)容量——新系统处理并发网络应用请求的数目,以及系统能够为每个用户处理的数据量。 (8)利用率——新系统可用时间与故障时间之比。
28
(二)逻辑环境的检查 (三)硬件基础设施的检查 (四)软件设施的检查
二、系统访问控制审计
(一)逻辑访问控制审计
(1)验证逻辑访问路径。
(2)检查逻辑访问控制软件。
(3)检查身份识别与验证。
(4)检查逻辑访问授权。
信息系统审计
29
(5)检查远程访问控制。 (6)利用审计日志检测系统访问。
(二)物理访问控制审计
五、灾难恢复与业务持续性审计
(1)评价被审计单位的业务持续性策略及其与业务目标的符合性、充分性和有效性。 (2)审核信息系统和终端用户以前所作测试的结果,验证业务持续性计划的有效性。 (3)审核异地应急措施及其内容、安全和环境控制,评估异地存储站点的适当性。 (4)审核应急措施、员工培训、测试结果,评估信息系统和终端用户在紧急情况下的有效反应能力 。
1.制订并核准有效的事件应对计划
信息系统审计
26
2.有效记录并确认事件 3.正确分析事件并采取适当行动
五、物理访问控制
第四节 职责分离 一、制定职责分离的管理制度
信息系统审计
27
二、员工明确其岗位职责 三、对关键岗位进行监控
第五节 一般控制审计程序 一、系统环境控制审计
(一)物理环境的检查
信息系统审计
三、校验审查
四、批控制和批平衡
(一)批控制的类型
(1)总金额:确认一个批次中被系统处理的项目总金额等于处理前项目金额之和。
信息系统审计
34
(2)总项目数:确认一个批次中的每一个文件中的项目总数等于被处理的项目总数。 (3)总文件数:确认一个批次中文件总数等于被处理的文件总数。 (4)杂数总和:确认一个批次中的所有文件中的数值类字段的总和(虽然不同类型字段加起来的值 并没有实际意义)等于系统计算出来的总和。
信息系统审计
24
4.并行处理能力 5.可移植性和可扩展性
二、软件获取与实施
第三节 访问控制 一、制定访问控制的制度、程序和计划
信息系统审计
25
(一) 访问控制要求 (二) 形成访问控制策略文件
二、实施有效的识别和认证机制
三、实施有效的授权控制
(一) 管理用户账号 (二) 控制进程和服务
四、执行有效的审计和监督
信息系统审计
32
(5)审核被审计单位对业务持续性计划的维护措施。
第七章 信息系统应用控制审计
第一节 数据输入控制 一、数据规划和设计 二、输入授权
信息系统审计
33
(1)在一批表格或源文件上签字,提供恰当的授权证据。 (2)在线访问控制,保证只有经授权的人可以访问数据或执行敏感的操作。 (3)唯一性口令,系统为每个用户分发相互区别的唯一口令,用户输入自己的口令来对系统实施授 权的操作并对数据变动承担责任。 (4)终端或客户工作站的识别,用于限制系统只接受由特定的终端、工作站和个人输入的信息。
三、系统网络架构控制审计
(一)局域网风险与控制审计 (二)客户机/服务器架构安全审计 (三)互联网安全控制审计 (四)网络安全技术应用的审计
信息系统审计
30
(五)网络基础架构审计
(1)审核网络拓扑图,确定网络结构及设施。 (2)审核对局域网的控制,保证体系结构的设计和选择遵循了适当的标准,以及获取和运行成本不 超过其效益,包括物理控制审核、环境控制审核、逻辑控制审核。 (3)远程访问审核。 (4)网络穿透测试。 (5)网络变更控制审核。
(二)批平衡的类型
(1)批注册:通过注册项对批总计进行人工记录,并与系统报告的总计进行比较。 (2)控制账户:使用控制账户是通过一个初始编辑文件来确定批总计。 (3)计算机一致:批总计的计算机一致是通过输入记录批总计的批标题细目来执行的。 (4)系统将其与计算出来的总计进行比较,再决定接受或拒绝本批次。
信息系统审计
37
(5)合理性检查。 (6)查表。 (7)存在性检查。 (8)击键校验。 (9)校验数位。 (10)完整性检查。 (11)重复检查。 (12)逻辑关系检查。
三、处理控制
四、数据与数据库安全控制审计
(1)审核信息系统在数据处理、传输过程中的数据加密、数字签名、数字信封、数字证书认证等 安全策略控制是否完整有效,评价系统数据的机密性、完整性和可靠性。
信息系统审计
31
(2)审核数据库的存取管理、安全管理和数据库加密技术,评价数据库的安全性。 (3)审核数据库用户的角色、权限管理、身份验证和访问控制等安全控制,评价数据库的安全性。 (4)审核数据库的备份和恢复策略,检查备份数据存放、安全、维护管理,确保数据库的可用性。
(三) 硬件获取过程的控制与审计
信息系统审计
22
二、硬件维护 三、硬件监控
(一)硬件错误报告 (二)可用性报告 (三)利用率报告
四、硬件的容量管理
信息系统审计
23
第二节 信息系统软件
一、信息系统软件组成
(一) 操作系统 (二) 数据库管理系统
1.程序开发的难易程度 2.数据库管理系统的性能分析 3.对分布式应用的支持